Look 'n' Stop是一款性能出色的防火墙,占用资源极小,却灵活强大地支持多协议和数据包填充位的自定义检测,并兼备应用程序和Dll文件调用的过滤,深得众多墙友的喜爱。目前基本上,Lns的粉丝们多是采用现成的规则包,并稍微更改参数以适合自己的网络环境,大大降低了上手难度。但由于Lns智能化模块的欠缺,以及TCP状态检测能力有限(其实个人防火墙大多如此),再加上规则及网络环境的多变因素,往往墙友们使用起来,并不能充分发挥其优势,严谨地构造自己的电脑安全防护体系。笔者这里简单介绍一下我觉得还不错的Lns使用方案,供大家参考。
一、开启windows XP sp2/sp3系统防火墙
微软的系统防火墙为众多的人所诟病,但其出色的TCP/UDP状态检测能力不容忽视,可以很好地隐藏本机端口并自动屏蔽非法TCP标识数据包以及非法来源地址的数据包;智能化的程序端口配置模式,给用户提供了很好的易用性和安全性;并且有良好的网络适应性,不会像有些防火墙那样导致用户的P2P下载等网络应用出现故障。所以,既然Lns与系统防火墙有良好的兼容性,我们就不应当舍弃系统墙的这个绝对性优势,而要有优势互补的战略思维。
我们可采用如下策略:
1)启用系统防火墙,并在系统启动服务中保证相关服务的属性是自动启动模式,并保证“安全中心”监控防火墙的启用状态。熟悉组策略的,也可在组策略中加强一些参数的配置,如指定防火墙日志位置、为所有连接提供保护、ICMP消息的定制与否等等。相关操作大家不熟悉的,可以在网络上检索,做起来非常容易。
2)Lns设置要做的:
# 取消TCP状态检测;开启碎片管理功能
# 根据实际情况,简明、简单、有针对性地打造自己的网络层防护规则
# 启用DLL监控;启用应用程序过滤
# 良好的应用程序过滤模块使用习惯
# 其他你需要做的常规设置(参Lns的一些入门文章)。
二、Lns的Internet过滤规则设计
如图1:
补充说明:
# 由于我在企业内网,有较多的通信需求,所以在ARP协议上,就没有添加多少防护规则。大家如果处在不需要跟内网其他主机通信的网络环境下,可非常简单而有效地防御ARP***,这些可参考本人在墙友之家论坛(http://www.qy79.cn/bbs)和卡饭论坛所发有关局域网充分隐身和ARP***的一些资料。
三、Lns的应用程序过滤规则设计
如图2:
关于这个模块,网上多是介绍其功能和基本操作。我这里提供一个如何用好应用程序过滤模块的思考,希望大家能在应用层防护上达到良好的防护效果:
1)临时需要联网的,不要直接添加到规则中,只需要根据实际情况勾选“只此时域的会话”或“只此一次”。这类程序如IE以及CMD下的一些命令程序ping.exe、pathping.exe、netstat.exe等等,都应当是如此。它们往往被用户随手直接添加到过则中,这样就失去了应用程序监控模块的存在价值。系统内置的许多程序都是恶意程序的调用目标,一定不能一劳永逸地让它们被放行。
2)一般情况下推荐用“只此时域的会话”,因为“只此一次”往往会连续弹窗,很繁琐。当启用“只此时域会话”后,规则会被临时添加到规则表中,建议你使用完该程序后,去删除该条规则。
3)规则表中只应当保留那些拦截条目和指定了远端端口及IP的条目。
4)个别程序如果想了解其拦截和放行情况以便调试的话,可使用单/双叹号的记录方式。
5)注意父进程联网和调用子进程联网的区别。这一点,网上相关介绍中已有提及,也有较多资料可以查询熟悉,不一一赘述了。
四、其他
经过测试,以上设置可通过Comodo leak test中的五项指标,如图3:
至于防外的网络连接***,不用测试了,一定很安全。
通过以上策略,我们针对网络的主机防护基本上已经很强大。如果需要进一步加强,我推荐Avira+Antilogger+组策略;当然,要用好这两款安全产品,又需要相关的技巧学习了。
转载于:https://blog.51cto.com/tansuozhe/274831